France World

Ce que le décret exécutif sur la cybersécurité signifie pour le secteur privé

Les entreprises et les gouvernements ont souffert de retarder trop longtemps les révisions fondamentales de la cybersécurité nécessaires pour se défendre contre des attaques de plus en plus sophistiquées et courantes.

Le décret exécutif

En réponse à ce paysage de menaces, le président Joe Biden a publié un décret exécutif sur l’amélioration de la cybersécurité de la nation, en particulier avec l’architecture de sécurité Zero Trust.

Dans un Note de la Maison Blanche qui a suivi l’arrêté, l’administration s’est adressée au secteur privé, implorant les entreprises d’investir dans la cybersécurité et de segmenter leurs réseaux, premier pas vers la sécurité Zero Trust.

La commande de Biden et la note de service qui a suivi mettent en lumière la nécessité pour les agences gouvernementales et les entreprises de passer rapidement à une architecture Zero Trust.

Impacts sur le secteur privé

Qu’est-ce que cela signifie aujourd’hui pour les professionnels du secteur privé ? Les chefs d’entreprise, les gestionnaires, les chefs de service et toute personne en position de diriger la charge doivent changer leur façon de penser à la sécurité et aider leurs équipes à faire de même.

Zero Trust est plus qu’un nouvel ensemble d’outils et de procédures. C’est une toute nouvelle stratégie pour protéger votre entreprise.

En bref, un modèle de sécurité Zero Trust découle du concept « ne jamais faire confiance, toujours vérifier » et « supposer une violation ». Avec un cadre Zero Trust, seuls le trafic, les processus et les utilisateurs dont la sécurité est confirmée sont fiables. Il reconnaît que les plus grandes menaces à la sécurité peuvent provenir de l’intérieur de l’organisation et ne laisse rien au hasard.

Le besoin de confiance zéro

En tant que troisième CIO fédéral des États-Unis en poste de 2015 à 2017, j’ai pu constater de visu le nombre croissant de cybermenaces contre les organisations américaines. L’un de mes premiers projets au travail consistait à diriger la réponse du gouvernement fédéral à la Cyber-intrusions du Bureau de la gestion du personnel, qui l’année précédente avait révélé des informations de base sur les habilitations de sécurité d’environ 21,5 millions d’employés du gouvernement et mis à nu les vulnérabilités des modèles de cybersécurité existants.

L’une des conséquences de ces violations a été la Plan d’action national pour la cybersécurité, qui cherchait à renforcer la cybersécurité à la fois dans les agences gouvernementales fédérales et dans la vie numérique de tous les Américains.

En première ligne de la cybersécurité en tant que CIO de Microsoft et de Disney, j’ai constaté que les cybermenaces devenaient de plus en plus destructrices et répandues. Il m’est apparu clairement que la sécurité traditionnelle basée sur le périmètre continuerait d’échouer et que la stratégie à long terme la plus efficace serait d’adopter un cadre Zero Trust.

Alors, qu’est-ce qui empêche les entreprises de mettre en œuvre Zero Trust ?

Les défis vont du psychologique au matériel.

La plus grande inquiétude que de nombreuses entreprises ou chefs d’équipe ont, c’est que se déplacer rapidement vers l’inconnu ne fera que causer plus de problèmes. Ils pourraient penser : « Comment vais-je passer à ce cadre entièrement nouveau sans casser quelque chose ? »

Un autre bloc commun est l’idée fausse selon laquelle l’adoption d’un cadre Zero Trust est un poids extrêmement lourd qui va certainement surcharger les équipes. D’autres défis incluent le manque de compétences, de temps, de budget ou d’engagement de la direction.

Ça vaut bien l’effort

Alors que les entreprises acceptent la menace inévitable qui pèse sur leurs revenus et leur réputation, elles reconnaissent que la nécessité d’une posture de sécurité Zero Trust l’emporte de loin sur les défis de mise en œuvre.

Technologie Zero Trust modernisée basée sur le cloud

Et la technologie Zero Trust basée sur le cloud modernisée d’aujourd’hui simplifie la voie vers Zero Trust pour les entreprises, en utilisant une automatisation et un apprentissage automatique puissamment rationalisés, et en s’intégrant aux outils de sécurité existants.

Alors que le décret exécutif de Biden met l’accent sur la cybersécurité pour le secteur public et que la Maison Blanche exhorte le secteur privé à emboîter le pas, les entreprises devraient considérer le décret comme une étoile directrice pour les normes de cybersécurité dans tous les secteurs à l’avenir. Pour faciliter la mise en œuvre de Zero Trust, les organisations doivent se préparer des trois manières suivantes :

1. Concentrez-vous d’abord sur l’éducation à l’échelle de l’organisation

Parce qu’une institution entière doit adopter la mise en œuvre de Zero Trust, l’éducation à l’échelle de l’organisation est la première étape nécessaire.

L’éducation des employés est essentielle pour changer les mentalités et gagner l’adhésion, et chacun doit comprendre que Zero Trust n’est pas seulement un exercice pour le service informatique. Au lieu de cela, cela nécessite une pleine participation de l’ensemble de l’organisation pour établir et maintenir des processus métier pour les identités vérifiées, les appareils protégés et les données, réseaux et infrastructures sécurisés.

L’éducation commence avec les dirigeants, tant au niveau supérieur qu’au niveau de la direction. Les chefs d’entreprise doivent lancer la mise en œuvre en en faisant un objectif de l’entreprise de s’assurer que chaque personne comprend ce qu’est le modèle Zero Trust, pourquoi il est important et comment il peut aider à sécuriser l’organisation et ses actifs.

Les gestionnaires et les chefs de service peuvent aider à traduire cela en une communication et une formation plus spécifiques et ciblées pour les employés. Par exemple, des fonctionnalités telles que l’authentification unique et l’authentification multifacteur sont des exemples de base de mise en œuvre que les employés connaissent peut-être déjà.

Les employés doivent savoir que les workflows de cybersécurité renforcés de l’organisation ne rendront pas leur travail impossible. Les responsables peuvent montrer aux employés comment l’architecture Zero Trust affectera leur travail et réitérer les avantages en cours de route.

2. Développez le muscle Zero Trust

Tout ce qui vaut la peine d’être fait nécessite d’apprendre, de pratiquer et de s’affiner, il en va de même pour Zero Trust. La mise en œuvre de Zero Trust ne commence pas le vendredi matin et se termine juste à temps pour l’happy hour. Zero Trust est un nouveau cadre de sécurité, c’est donc un marathon sur lequel vous allez construire à un rythme raisonnable, ce n’est pas un sprint.

Entraînez-vous avec un petit patch et apprenez à le gérer, puis développez-le à partir de là.

Les plates-formes SaaS peuvent lancer la voie vers Zero Trust et simplifier les démarches grâce à l’IA et à l’apprentissage automatique qui formulent des recommandations politiques pour vous. Et ils vous permettent de tester en mode simulation, réduisant l’incertitude pour vous aider à évoluer plus rapidement.

Dès les premières étapes, il est également important d’identifier les normes de conformité auxquelles vous devez vous conformer (par exemple, HIPAA, PCI, GDPR) afin de pouvoir construire votre posture de sécurité en gardant ces réglementations à l’esprit.

Au fur et à mesure que le muscle Zero Trust se développe, j’ai constaté que de nombreuses entreprises peuvent évoluer rapidement dans la mise à l’échelle de la mise en œuvre de Zero Trust, en particulier avec les plates-formes fournies par le cloud d’aujourd’hui.

Lorsque j’étais chez Microsoft, nous étions l’une des organisations les plus attaquées au monde. Grâce à notre expérience en matière de défense contre les attaques, nous sommes devenus assez bons dans ce domaine. Mais nous savions que nous n’étions pas complètement invulnérables, alors nous avons commencé à réfléchir davantage à ce que nous pouvions faire de plus pour couvrir la surface nécessaire pour être en sécurité, en évoluant petit à petit.

Je ne peux pas dire que vous comprendrez cela tout de suite, mais c’est une stratégie vraiment efficace à long terme, et donc c’est aussi un long jeu par rapport aux outils « définir et oublier ».

3. Surmonter les silos internes de l’organisation

Il est courant que les équipes soient expertes dans leur fonction, telle que l’administration du cloud, mais aient peu de visibilité sur les autres, telles que l’administration des appareils des utilisateurs finaux.

Les plus grandes implémentations éliminent certaines de ces barrières au cours du parcours Zero Trust, pour éduquer dans tous les domaines et renforcer la posture non seulement au niveau technologique, mais également au niveau organisationnel.

Chaque mise en œuvre de Zero Trust dont j’ai été témoin de moments de découverte « a-ha » dans les environnements de l’entreprise, y compris le trafic non détecté de l’extérieur, les interfaces internes obsolètes qu’ils ne pensaient pas encore en cours d’exécution et le trafic mal acheminé mettant un fardeau inconnu sur le réseau.

Avouons-le : les intrus n’ont pas les contraintes de gouvernance et de budget d’une institution ordinaire. Ils sont toujours à la recherche de nouvelles façons de franchir votre périmètre. Mais lorsque vous avez adopté la mise en œuvre Zero Trust, vous pouvez isoler la menace avant qu’elle ne fasse plus de dégâts et donc récupérer beaucoup plus rapidement.

Un cadre Zero Trust peut rendre votre organisation résiliente aux cybermenaces, même lorsque les attaquants ne sont pas découverts. Il est temps d’admettre que les méchants trouveront probablement un moyen d’entrer et d’adopter une approche Zero Trust qui « suppose une infraction », stoppant les ransomwares dans leur élan avant de ça peut faire des ravages.

Crédit d’image :

Tony Scott

Membre du conseil d’administration chez Color Tokens

Tony Scott est membre du conseil d’administration de ColorTokens et PDG de TonyScottGroup. Il a été le troisième CIO fédéral (2015-2017) du gouvernement des États-Unis dans l’histoire du pays. Scott est l’un des plus grands experts mondiaux en matière de sécurité et d’informatique.

Source

L’article Ce que le décret exécutif sur la cybersécurité signifie pour le secteur privé est apparu en premier sur zimo news.